NIMDA病毒攻击3526E导致用户上网故障

现象描述

组网概述：3526E->8850->8750。一部分用户通过2403－>3025－>3526E的GE口上网，另一部分用户通过2403->3526E

故障现象为两类：

1、无法获取地址，释放地址后试图重新获取不成功；

2、能上网，但是网速变得极低，并且无法PING通网关。

警告信息

无

原因分析

1、可能是DHCP服务器故障；

2、可能是上层设备故障；

3、可能是网络上存在大量ARP广播包，占用了CPU；

4、可能是网络中有非法用户采用ICMP报文攻击导致。

处理过程

1、根据故障现象1，可能DHCP服务器有故障，经查看，排除此可能；查看上层设备8850，也排除其故障可能。

2、在3526E上PING不通上行对接设备地址及下挂用户地址，设备本身也PING占用率，几乎达到100％。有可能是网络上存在大量广播包，占用了CPU

3、通过SHOW IPF ALL查看，发现硬件转发表项已超过设备极限，且有许多异常可疑地址。如：

[S3526E] display ipfdb all

Ip fdb entry information including the following fields:

Note: the value of Status field

0: System 1: Learned 2: UsrCfg Age 3: UsrCfg noAge Other: Error

Ip Address RtIf VTag VTValid Port Mac Status

1.215.8.137 2 2 Invalid GigabitEthernet1/1 00-e0-fc-c0-ff-e0 2

2.136.111.41 2 2 Invalid GigabitEthernet1/1 00-e0-fc-c0-ff-e0 2

3.64.162.222 2 2 Invalid GigabitEthernet1/1 00-e0-fc-c0-ff-e0 2

3.117.251.162 2 2 Invalid GigabitEthernet1/1 00-e0-fc-c0-ff-e0 2

用户网段均为10开头的私网地址，内部用户上公网通过PROXY代理，正常情况下不应学习到这些地址。由此判断设备受非法攻击导致，网络上有用户在不断地向全网网段发出

4、通过命令调试，如下：

[Quidway]acl number 101

[Quidway-acl-adv-101]rule permit ip source 1.0.0.0 0.255.255.255 destination any

[Quidway-acl-adv-101]rule permit ip source 2.0.0.0 0.255.255.255 destination any

[Quidway-acl-adv-101]rule permit ip source 3.0.0.0 0.255.255.255 destination any

[Quidway-acl-adv-101]rule permit ip source 4.0.0.0 0.255.255.255 destination any

[Quidway-acl-adv-101]rule permit ip source 9.0.0.0 0.255.255.255 destination any

debug ip packet acl 101

terminal debugging

terminal monitor

查看调试信息，查找到非法主机IP为10.11.144.152。根据其MAC地址在2403上查找到该主机。发现其有一未设口令的完全共享目录“新建文件夹”，打开该目录，发现该目录下的文件有病毒。该主机发起攻击，为该病毒发作所致。问题根源找到。

建议与总结

现在网络病毒攻击的情况越来越多，由于一般的设备对攻击不具备多少抵抗能力，因此建议网络上的机器要定期杀毒，或是安装防火墙。